2 all
upd от 07.07.10 - аддоны заменены, теперь пропатченные REGEDIT.EXE и taskmgr.exe не выводятся из списка защиты и подписаны.
за подписанные файлы спасибо
jameszero, за реализацию аддонов "с подписью" -
Habetdin
Цитата truvo:
|
а SVCPACK для установки "на живую" возможен или нет? »
|
теоритически - да (если действительно есть нужда, сделаю).
Практически есть сложности с цифровой подписью на живой системе, да и смысла особого нет - если у вас есть возможность принести на систему носитель со своими файлами (а как иначе в комп попадёт SVCPACK экзешник?) то можно просто принести пропатченные REGEDIT.EXE и taskmgr.exe , запустить их ну и делать с их помощью
черное дело то, что нужно.
Цитата GreyAngel:
|
.Принцип действия патча? »
|
Цитата Amigos:
|
перед своим запуском они лезут в реестр в ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] и смотрят там хитрые ключики (RegEdit — "DisableRegistryTools", а Taskmgr — "DisableTaskMgr") и если находят - отказываются работать. »
|
строчки которые ищут программы при запуске, лежат внутри EXE'шника, и в патченых файлах они искажены.
То есть теперь при запуске REGEDIT.EXE и taskmgr.exe прверяют на наличие другую строчку в реестре.
Коректнее было бы совсем убрать проверку в исполняемом коде, но мне это не по зубам, я ограничился искажением строчек.
Цитата GreyAngel:
|
.Для семёрки подобное возможно организовать? »
|
конечно. нужно найти в EXE при помощи HEX редактора строчки DisableRegistryTools или DisableTaskMgr (в Unicode) и каким либо образом их закосячить.
Правда придётся поборотся с семерочной защитой системных файлов, но тут я совсем не копенгаген.
Цитата jameszero:
|
выводить из списка защиты, но последнее чревато тем, что вирус, помимо блокировки файлов в реестре, может попробовать их удалить и ему легко это удастся. »
|
это в начале нулевых, когда WFP только появилась, удалить/заменить подписанный файл было сложнее чем неподписанный, сейчас - нет
и вообще расматривать WFP как "средство от зловредов" сильно неправильно, она не для этого создавалась и никогда не мешала реальным вирусам/вирусописателям.
Т.е. в реальной жизни система с включеной WFP ничуть не сильнее противостоит зловредам, чем с отключенной
Цитата XXXler:
|
указанные утилиты как раз больше подходят для устраивания детских шалостей, нежели для борьбы с нынешними вирусами »
|
шалости зависят от рук и от головы, а не от утилит.
"борьба с вирусами" в планы и не входила.
простой пример для чего требуются такие утилиты - я пришёл к пользователю "починить" неработающую программу. способ "починки" - удаление ветки с настройками программы в реестре.
А реестр заблокирован вирусом/трояном. Заниматся бесплатным лечением неизвестно насколько запущенной системы не хочется. Хочется быстренько "починить" нужную программу (которой вирусы не мешают) и бежать дальше. Тут то и помогают патченные утилиты.
Цитата simplix:
|
Вместо этого аддона лучше сделать inf-файл с нужными параметрами и запускать его при необходимости: »
|
этот файл нужно иметь с собой (таскать на флешке), а по закону подлости иммено тогда, когда нужно флешки со всем нужным под рукой не оказывается
к тому же есть зловреды которые блокирующие ключи реестра устанвливают не только при своём запуске, но и постоянно в процессе своей работы. т.е. inf ключи сбросит, но после этого зловред как правило успевает их поставить до запуска утилит.
хотя есть способ и в такой ситуации обойтись без патчинга файлов.
пишем CMD
Цитата:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
regedit.exe
|
он сразу после удаления ключей запускает regedit.
Цитата simplix:
|
И как потом ограничивать пользователям доступ в корпоративной среде? »
|
а разве пользователям в корпоративной среде разрешается ставить на компы свои сборки виндос с произвольным набором аддонов?
В корпоративной среде винду ставит админ, и если он считает, что ему нужен функционал "самоограничения" в regedit и Taskmgr он просто не будет использовать этот аддон.
